La option tls-host dans MikroTik RouterOS est une fonctionnalité de pare-feu qui permet de filtrer le trafic TLS en fonction du nom de domaine du serveur vers lequel il est dirigé.
Cela peut être utile pour bloquer l'accès à des sites Web malveillants ou indésirables, ou pour contrôler le flux de trafic sur votre réseau.
A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture
Cependant, il est important de noter que l'utilisation de tls-host comporte certaines limitations et précautions :
Limitations
- Fonctionne uniquement avec le trafic TLS : Cela n'affecte pas le trafic HTTP ou tout autre protocole autre que TLS.
- Nécessite une résolution de nom de domaine : Le pare-feu doit résoudre le nom de domaine du serveur afin d'appliquer la règle. Si la résolution échoue, le trafic pourrait passer sans filtrage.
- Peut être vulnérable aux attaques de contournement : Les attaquants peuvent utiliser des techniques pour masquer le véritable nom de domaine du serveur, rendant ainsi la règle tls-host inefficace.
- Désactivez le téléchargement du matériel : Lors de l'utilisation de tls-host, le déchargement matériel pour le traitement des paquets TLS est désactivé, ce qui peut diminuer les performances du réseau.
Précautions
- Ne bloquez pas les sites Web légitimes : Assurez-vous que les règles tls-host ne bloquent pas accidentellement les sites Web dont vos utilisateurs ont besoin.
- Soyez prudent avec les caractères génériques : Évitez d'utiliser des caractères génériques dans les règles tls-host, car cela pourrait bloquer plus de trafic que vous ne le souhaitez.
- Gardez MikroTik à jour : Assurez-vous que votre MikroTik RouterOS est mis à jour avec les derniers correctifs de sécurité pour éviter les vulnérabilités.
Alternatives
- Filtres basés sur IP : Vous pouvez filtrer le trafic en fonction de l'adresse IP du serveur, ce qui peut être plus efficace dans certains cas.
- Utilisation des listes d'accès : Vous pouvez utiliser des listes d'accès pour spécifier quels serveurs ou domaines sont autorisés ou bloqués.
- Mise en place d'un proxy web : Un proxy Web peut filtrer le contenu des pages Web et bloquer l'accès aux sites Web malveillants.
L'option tls-host peut être un outil utile pour filtrer le trafic TLS dans MikroTik RouterOS, mais il est important de l'utiliser avec prudence et d'être conscient de ses limites.
Envisagez des alternatives et suivez les pratiques de sécurité appropriées pour protéger efficacement votre réseau.
La plupart des sites Web utilisent désormais https et le blocage des sites Web https est beaucoup plus difficile avec la version de MikroTik RouterOS inférieure à 6.41. Mais à partir de RouterOS v6.41, MikroTik Firewall introduit une nouvelle propriété appelée Hébergement TLS t qui est capable de faire correspondre très facilement les sites Web https.
Par conséquent, bloquer les sites Web https comme Facebook, YouTube, etc. Cela peut être facilement réalisé avec MikroTik Router si la version de RouterOS est supérieure à 6.41.
Filtrage basé sur les noms d'hôtes
Vous pouvez utiliser « tls-host » dans les règles de pare-feu pour filtrer le trafic en fonction des noms d'hôte plutôt que des adresses IP. Cela peut être bénéfique si les adresses IP des serveurs avec lesquels vous communiquez sont susceptibles de changer et que vous préférez utiliser des noms d'hôte qui restent constants.
/ip pare-feu filtre ajouter chain=forward dst-port=443 protocol=tcp tls-host=example.com action=accept
Dans cet exemple, la règle autorisera le trafic TLS sortant vers le port 443 destiné à « exemple.com ».
Gestion des certificats et des noms d'hôtes
En utilisant l'option « tls-host », vous pouvez faciliter la gestion des certificats SSL/TLS sur votre réseau. Si les certificats changent ou sont renouvelés et que le nom d'hôte reste le même, vous n'aurez pas besoin de mettre à jour les règles de pare-feu avec de nouvelles adresses IP.
Réduire la dépendance aux adresses IP fixes
Dans certains cas, notamment lors de l'interaction avec des services hébergés dans le cloud ou avec des fournisseurs de services susceptibles de modifier les adresses IP attribuées, l'utilisation de « tls-host » fournit une couche d'abstraction qui réduit la dépendance aux adresses IP fixes.
/ip pare-feu filtre ajouter chain=forward dst-port=8443 protocol=tcp tls-host=cloud-service.com action=accept
Ici, le trafic TLS sortant vers le port 8443 destiné à «cloud-service.com» sera autorisé quelle que soit l’adresse IP actuelle du service.
Il est important de noter que pour que l'option « tls-host » soit efficace, le service distant doit prendre en charge l'utilisation de noms d'hôtes au lieu d'adresses IP. Tous les services ou applications ne permettent pas cette flexibilité, il est donc crucial de consulter la documentation du service spécifique que vous utilisez.
Comment bloquer les sites Web HTTPS avec TLS Host Matcher
- Accédez à l'élément de menu IP > Pare-feu et cliquez sur l'onglet Règles de filtrage, puis cliquez sur le SIGNE PLUS (+). La fenêtre Nouvelle règle de pare-feu apparaît.
- Choisissez Suivant dans le menu déroulant Chaîne.
- Choisissez TCP dans le menu déroulant Protocole.
- Cliquez sur Heure d'heure. Port et case d'entrée portuaire 443.
- Cliquez sur l'onglet Avancé, puis sur la zone de saisie Hôte TLS et placez le nom de domaine que vous souhaitez bloquer (tel que *.facebook.com) dans cette zone.
- Cliquez sur l'onglet Action et choisissez Déposer dans le menu déroulant Action.
- Cliquez sur Appliquer et sur le bouton OK.
Règle de pare-feu par commande
/ip pare-feu filtre ajouter chain=forward dst-port=443 protocol=tcp tls-host=*.facebook.com action=drop
Bref quiz de connaissances
Que pensez-vous de cet article?
Oserez-vous évaluer vos connaissances acquises ?
Livre recommandé pour cet article
Livre de sécurité avancée RouterOS v7
Matériel d'étude pour le cours de certification MTCSE, mis à jour vers RouterOS v7
Peut-être êtes-vous intéressé...
- MikroTik IPSec : choisissez entre le mode tunnel et le mode transport pour VPN
- Filtre ICMP dans un pare-feu MikroTik
- Entre Stateful et Stateless : maîtriser le pare-feu MikroTik
- MikroTik et l'authentification sans fil : comprendre « Autoriser la clé partagée »
- HSRP, VRRP, GLBP : Comprendre les protocoles clés pour la redondance du réseau